La descarga es en realidad un troyano, ¡así que aléjese!

Cisco Talos detecta una campaña en fase inicial dirigida a usuarios con poca información.

Un traficante de malware ha creado un sitio web falso que se hace pasar por Amnistía Internacional para ofrecer a los usuarios crédulos un software que dice protegerlos del malware Pegasus de NSO Group. En realidad, es un troyano de acceso remoto (RAT).

Este desarrollo se aprovecha de los temores del malware Pegasus y toma el desarrollo habitual de los señuelos de descarga de malware (que suelen basarse en noticias de actualidad) para ello eligen un vector especialmente desagradable para espiar a quienes buscan protección contra amenazas avanzadas.

El sitio web falso de Amnistía tiene un aspecto muy similar al real y ofrece a los usuarios un software “AntiPegasus” para descargar en el escritorio de Windows. El malware (porque eso es lo que es) “escanea” el ordenador del usuario, cuando en realidad inyecta un troyano. La propia aplicación maliciosa se disfraza superficialmente para engañar a los usuarios sin conocimientos técnicos y hacerles creer que han descargado un software seguro.

Cisco Talos descubrió el sitio web falso, analizó la descarga y descubrió que se trataba de la RAT Sarwent.

“Sarwent tiene las capacidades habituales de una herramienta de acceso remoto -principalmente sirve como puerta trasera en el ordenador de la víctima- y también puede habilitar el protocolo de escritorio remoto en el ordenador de la víctima, permitiendo potencialmente al atacante acceder directamente al escritorio”, dijeron los investigadores de Talos Vitor Ventura y Arnaud Zobec.

Pegasus es una suite de exploits para iPhone desarrollada por el proveedor de malware israelí NSO Group. Al menos una de las vulnerabilidades explotadas por NSO fue parcheada por Apple en septiembre, ya que se trataba de una vulnerabilidad de clic cero en iMessage.

El sitio web parece haber sido descubierto en una fase muy temprana, ya que Talos señala que su telemetría de correo electrónico no lo ha detectado. Tampoco hay cebo para los motores de búsqueda. Los dominios utilizados para atraer a los usuarios a la descarga de la RAT van desde el Reino Unido hasta los Estados Unidos, pasando por Rusia, Vietnam, Argentina y Eslovaquia.

• Criminal de ransomware: Sí, lo que hago es malo. No, no me importa. Sí, los expertos en seguridad tienen la boca llena y no llevan pantalones
• Los ataques a los puntos finales del Protocolo de Escritorio Remoto se han disparado este año, advierte el último Informe de Amenazas de ESET
• No mires a un caballo de batalla en la boca: el troyano pisotea 10 millones de dispositivos Android
• Kaspersky vincula el nuevo malware Tomiris al grupo Nobelium

“Cisco Talos tiene una alta probabilidad de que el actor en este caso sea un residente ruso que ha estado llevando a cabo ataques basados en Sarwent desde al menos enero de 2021, cubriendo una amplia gama de perfiles de víctimas”, dijo la compañía.

La empresa de seguridad cree que Sarwent se remonta a 2014, bastante antiguo para los estándares de malware.

El uso de dominios falsos y descargas de troyanos para propagar el malware es casi tan antiguo como el propio malware. Los códigos de activación de software falsos son uno de los favoritos de siempre, y las APT patrocinadas por el Estado han utilizado señuelos del GDPR con diferentes grados de éxito en los últimos cuatro o cinco años.

A una escala mucho mayor, los archivos publicados por WikiLeaks en 2017 parecían mostrar que la CIA había escrito un código para hacerse pasar por Kaspersky Labs para facilitar el desvío de datos sensibles de sus objetivos.

Se ha pedido a Amnistía Internacional que haga comentarios. La organización ha denunciado el suministro de malware y herramientas de piratería informática por parte de NSO Group a gobiernos dudosos, al igual que organizaciones tecnológicas como Citizen Lab de Canadá y Privacy International del Reino Unido.